下载掌阅APP,畅读海量书库
立即打开
在传统的网络安全架构中,划分安全区域是网络设计的第一步。把不同安全等级的资源划分到不同的安全区域中,并在安全区域边界实施安全检查,是防火墙的核心作用。随着攻防态势的不断变化,防火墙提供的安全检查能力也在不断增强。构建安全区域边界需要综合利用防火墙和其他网络安全产品的能力,最大限度地降低攻击者入侵的可能性。
首先,你无法保护你看不见的东西,提高网络流量可视性是防御入侵的第一步。必须清楚地知道网络中部署着哪些信息资产,才能合理地划分安全区域。同样地,必须清楚地知道哪些用户在访问哪些应用,才能发现异常访问行为,阻断恶意流量。近年来,随着用户隐私保护和网络安全意识的增强,互联网中的加密流量已经超过90%。然而,加密流量的增长也为网络安全带来了新的隐患,超过70%的网络攻击采用了加密技术。主流的解决方法是解密流量,让防火墙等网络安全产品可以针对解密后的流量实施安全检查。此外,通过应用识别能力,可以更精确地呈现网络流量模型,为基于应用的管控提供可能。通过用户认证与用户管理,识别流量IP地址与用户之间的映射关系,可以为网络行为管控和权限分配提供基于用户的管理维度。知道“谁”在实施恶意行为,可以显著缩短对攻击的响应时间。
其次,根据业务需求部署精确的安全策略,限制进出网络的流量,以最大限度地缩小攻击面。如前所述,应用识别、用户认证与用户管理为安全策略提供了新的管控维度,提高了安全策略的可读性。你可以放行指定用户访问合法应用的流量,也可以禁止任何人访问高风险应用。部署精确的安全策略是缩小攻击面最简单、有效的方法。在此基础之上,你还可以采用URL过滤和DNS过滤技术防止用户访问恶意网站,采用文件过滤技术防止恶意软件的投递,采用内容过滤技术阻止敏感信息的传播。为了防御“网络钓鱼”攻击,你可以采用邮件过滤技术拦截钓鱼邮件。上述过滤技术可以进一步缩小攻击面,进而提高网络安全性。
再次,采用入侵防御技术、反病毒技术,阻止已知威胁。开发人员网络安全意识薄弱、系统的复杂度不断提高、日常维护和管理不到位等因素导致漏洞不可避免,给网络安全带来隐患。入侵防御技术依托持续更新的特征库,可以准确地检测并立即阻止隐藏于网络流量中的攻击,从而大幅降低漏洞带来的风险。在网络边界启用病毒检测,可以实时阻断常见的病毒、木马、蠕虫等恶意软件,避免其通过网络传输进入内网。此外,针对游戏、直播、电商等行业的DDoS攻击愈演愈烈,攻击数量和攻击流量屡创新高,部署专业的DDoS防御解决方案,成为相关行业保障业务连续的重要手段。
最后,依托安全沙箱,检测和防范未知威胁。随着APT攻击、勒索病毒、挖矿病毒等新型攻击手段的不断发展,传统的基于特征的防御手段暴露出很大的局限性。恶意代码复杂、多变,基于特征匹配的入侵防御技术和反病毒技术,依赖特征库的开发与更新,无法快速检测和阻断新型攻击。在这种情况下,基于安全沙箱的动态检测技术成为必要的补充。在安全沙箱中动态检测文件的行为,已经成为应对新型攻击的必备手段。
本书以等级保护技术标准要求为切入点,按照上述系统化的防御思路,详细介绍增强区域边界安全的关键技术。本书以华为安全产品为基础,介绍各种技术的产生背景、技术实现原理及配置指导等内容。
本书共7章。第1章和第2章介绍网络可视性手段,包括用户管理技术和加密流量检测技术。第3章介绍缩小攻击面的方法,即内容过滤技术。第4章~第6章介绍防范已知威胁的技术,包括反病毒技术、入侵防御技术和DDoS攻击防范技术。第7章介绍防御未知威胁的技术,即安全沙箱。
用户管理技术的本质是根据用户接入网络时的认证信息,将流量的源IP地址与用户身份建立关联。之后,防火墙就可以基于用户身份动态控制其网络访问权限,从而解决动态地址的管控难题。防火墙可以作为认证点,也可以同步其他认证点的结果。这一章介绍防火墙的用户管理体系和认证方法,展示如何基于用户来进行访问控制。
在互联网流量加密日益增长的背景下,网络攻击者也越来越多地利用加密流量来隐藏攻击行为。加密流量检测技术是应对这一趋势的重要手段。在用户的授权下,防火墙等安全产品解密加密流量,获得明文数据并实施安全检查。本章介绍加密技术的基础知识,提供加密流量检测的原理和典型场景。此外,鉴于加密流量检测技术还存在部分限制,本章还介绍一种采用不解密的方式来检测安全威胁的技术,即ECA(Encrypted Communication Analytics,加密通信分析)技术。
内容过滤技术是一组防火墙特性的统称,有针对特定协议和应用的URL过滤、DNS过滤和邮件过滤,也有针对协议和应用中具体数据内容的文件过滤、内容过滤和应用行为控制。综合运用这些技术,可以管控网络中的业务行为,把暴露面控制在尽量小的范围内。这一章介绍各种内容过滤技术的原理和配置方法。
入侵是指攻击者利用系统漏洞或社会工程学手段,非法进入信息系统的行为。入侵行为会破坏信息系统的完整性、机密性和可用性,给用户单位带来直接损失。本章介绍入侵检测和入侵防御的概念和基本工作原理,展示防火墙和专业入侵防御设备的配置、部署方法。
计算机病毒快速增多,新型病毒层出不穷,严重威胁生产、生活安全。除了在计算机终端安装杀毒软件,在网络边界处部署网关反病毒功能也是保护网络免受病毒侵害的重要手段。本章简要回顾病毒的基础知识,介绍网关反病毒的基本原理和配置逻辑,并通过实践演示反病毒的应用效果。
以关键信息基础设施为目标的DDoS攻击已跃升为国家级网络安全威胁之首。DDoS攻击的峰值流量越来越大,攻击频率越来越高,攻击手法也越来越复杂。本章介绍DDoS攻击的现状和发展趋势,阐述典型DDoS攻击的原理与防御手段,介绍华为Anti-DDoS解决方案及其典型场景。
安全沙箱是一种在隔离环境下运行程序的安全机制,用于检测不受信任的文件,确认是否存在安全风险。安全沙箱是应对未知威胁的重要技术手段。这一章介绍使用华为安全沙箱FireHunter检测未知威胁的原理以及FireHunter的典型应用。
本书由华为技术有限公司数据通信数字化信息和内容体验部组织编写。在写作过程中,华为数据通信产品线的领导给予了很多的指导、支持和鼓励,人民邮电出版社的编辑给予了严格、细致的审核。在此,诚挚感谢相关领导的帮助,感谢本书各位编委和人民邮电出版社各位编辑的辛勤工作!
以下是参与本书编写和技术审校的人员名单。
主编:李学昭。
编委:李学昭、刘水、张娜、席友缘、闫广辉、赵洁。
技术审校:陈甲、董亮、范贤均、郭璞、何新乾、廉乐凯、刘晓亮、米淑云、任仲党、王涛、吴波、杨莉、张爱玲、郑言。
参与本书编写和技术审校的人员虽然有多年从业经验,但因水平有限,书中难免存在不妥之处,望读者不吝赐教,在此表示衷心的感谢。
